Поддержка как существующего входа с аутентификацией с помощью форм, так и Federated WebSSO.

У нас есть размещенное веб-приложение, в котором используется проверка подлинности с помощью форм. К этому веб-приложению получают доступ пользователи, принадлежащие к разным партнерским организациям. В настоящее время пользователи, принадлежащие к партнерским организациям, получают доступ к приложению, используя учетные данные, которые мы им даем.

Теперь некоторые партнерские организации хотят, чтобы их пользователи получали доступ к приложению, используя свои учетные данные Active Directory. Мы планируем использовать ADFS для этих партнерских организаций, поэтому пользователи будут аутентифицироваться с помощью Active Directory в своей сети, а утверждения будут отправляться в веб-приложение через файл cookie токена аутентификации, установленный ADFS. Из утверждений мы сопоставляем пользователей с внутренними идентификаторами пользователей веб-приложения.

Мои вопросы: если мы включим ADFS веб-приложения: 1) Можно ли по-прежнему разрешить другим пользователям партнерской организации (которые не хотят использовать ADFS) входить в веб-приложение с помощью существующей страницы входа (проверка подлинности с помощью форм )? 2) Следует ли получать доступ к каждой странице в веб-приложении с поддержкой ADFS через https?

Будем очень признательны за любые решения или указатели.

Спасибо -arul


federated-identity adfs
person arul    schedule 19.11.2009    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Ваше приложение должно требовать утверждения, описывающие пользователя, независимо от того, откуда он входит. Ни в том, ни в другом случае он не должен обрабатывать аутентификацию; это должно быть делегировано доверенному издателю - STS. Это позволит ему взаимодействовать с пользователями единообразно, независимо от того, где и как они проходят аутентификацию. Это означает, что вам нужно будет использовать ADFS в двух ролях: STS поставщика удостоверений (IP) и STS поставщика федерации (FP). Для пользователей компаний-партнеров, которые не хотят поддерживать самих пользователей, вы будете IP-STS; для тех, кто это делает, вы будете FP-STS. В последнем случае ADFS будет перенаправлять пользователей из вашей области обратно на сайт партнера, где их IP-STS аутентифицирует их и отправляет на вашу FP-STS. Он сопоставит идентификатор пользователя и утверждения вашего партнера с теми, которые имеют смысл в вашей сфере. Эта и другая информация о пользователе будет включена в набор претензий, выдаваемых вашей FP-STS. В результате ваше приложение доверяет только STS независимо от того, какой сценарий подходит для разных пользователей. Обратите внимание, что в этом сценарии будет две службы STS: ваша ADFS FP-STS и IP-STS вашего партнера, которые могут быть или не быть ADFS. В противном случае будет только один STS: ваш IP-STS.

Не каждая страница в вашем веб-приложении ADFS требует доступа через HTTPS; однако все, кто используется в процессе аутентификации, должны быть.

Это действительно нетривиальное мероприятие. Если вы хотите поговорить об этом подробнее, пожалуйста, свяжитесь со мной.

person Travis Spencer    schedule 20.11.2009
comment
Большое спасибо Трэвису Спенсеру. Я ищу возможности преобразования нашего текущего поставщика удостоверений sql в IP-STS. Еще раз спасибо за руководство. - person arul; 21.11.2009